CVE-2022-21657 in Envoyالمعلومات

الملخص

بحسب VulDB • 26/06/2026

Envoy هو وسيط حدودي وخدمة مفتوح المصدر، مصمم لتطبيقات السحابة الأصلية (cloud-native). في الإصدارات المتأثرة، لا يقوم Envoy بتقييد مجموعة الشهادات التي يقبلها من الطرف الآخر، سواءً كعميل TLS أو كخادم TLS، للشهادات التي تحتوي فقط على استخدامات المفتاح الموسعة الضرورية (id-kp-serverAuth و id-kp-clientAuth على التوالي). وهذا يعني أنه يمكن للطرف الآخر تقديم شهادة بريد إلكتروني (مثل id-kp-emailProtection)، إما كشهادة جذرية (leaf certificate) أو كهيئة إصدار شهادات (CA) في السلسلة، وسيتم قبولها لـ TLS. يعد هذا الأمر سيئًا بشكل خاص عند دمجه مع المشكلة الموصوفة في طلب السحب #630، حيث يسمح لهيئة إصدار شهادات Web PKI مخصصة للاستخدام فقط مع S/MIME، وبالتالي المعفاة من التدقيق أو الإشراف، بإصدار شهادات TLS سيتم قبولها بواسطة Envoy. ونتيجة لذلك، سيثق Envoy بشهادات الطرف العلوي التي لا ينبغي الوثوق بها. لا توجد حلول بديلة معروفة لهذه المشكلة. يُنصح المستخدمون بالترقية إلى أحدث إصدار.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub, Inc.

حجز

16/11/2021

إفشاء

23/02/2022

الاعتدال

تمت الموافقة

إدخال

VDB-193639

EPSS

0.00509

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!